Експортування журналів аудиту поштової скриньки

 

Застосовується до: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Останнє оновлення розділу: 2011-11-23

Якщо для поштової скриньки ввімкнуто функцію аудиту поштових скриньок, служба Microsoft Exchange записує відомості до журналу аудиту поштових скриньок щоразу, коли поштову скриньку відкриває користувач, відмінний від її власника. Кожний запис журналу містить інформацію про те, хто саме отримував доступ до поштової скриньки та коли, дії, що виконував користувач, який не є власником поштової скриньки, і чи були ці дії успішні. За промовчанням записи зберігаються в поштовій скриньці протягом 90 днів. Ви можете використовувати журнал аудиту поштових скриньок, щоб дізнатися, чи отримував доступ до поштової скриньки користувач, який не є її власником.

Під час експортування записів із журналів аудиту поштових скриньок служба Microsoft Exchange зберігає записи у файл XML, а потім вкладає його в електронне повідомлення, яке надсилається вказаним одержувачам.

У цій статті розглядаються такі питання:

Настроювання журналювання аудиту поштових скриньок

Потрібно ввімкнути журналювання аудиту поштових скриньок для кожної поштової скриньки, для якої потрібно здійснювати аудит, перш ніж експортувати та переглянути журнали аудиту поштових скриньок. Також потрібно настроїти веб-застосунок Outlook Web App, щоб дозволити вкладення у форматі XML.

Увімкнення журналювання аудиту поштових скриньок

Потрібно ввімкнути журналювання аудиту поштових скриньок для кожної поштової скриньки, для якої необхідно створити звіт про доступ користувачів, що не є її власниками. Якщо журналювання аудиту поштових скриньок не ввімкнуто для поштової скриньки, вам не вдасться отримати результати для неї під час експортування журнал аудиту поштових скриньок.

Щоб увімкнути журналювання аудиту поштових скриньок для окремої поштової скриньки, виконайте таку команду PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Щоб увімкнути журналювання аудиту поштових скриньок для всіх поштових скриньок в організації, виконайте такі команди:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Настроювання веб-застосунку Outlook Web App на дозвіл вкладень у форматі XML

Під час експортування журналу аудиту поштових скриньок служба Microsoft Exchange вкладає в повідомлення електронної пошти файл журналу аудиту у форматі XML. Однак за промовчанням Outlook Web App блокує вкладення у форматі XML. Щоб отримати доступ до експортованого журналу аудиту, потрібно настроїти Outlook Web App на дозвіл вкладень у форматі XML.

Виконайте таку команду, щоб дозволити вкладення у форматі XML у веб-застосунку Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Експорт журналу аудиту поштових скриньок

  1. Послідовно виберіть елементи «Керування організацією» > «Ролі» & «Аудит» > «Аудит».

  2. Клацніть «Експортувати журнал аудиту поштових скриньок».

  3. Настройте такі умови пошуку для експортування записів із журналу аудиту поштових скриньок:

    • Дата початку та завершення. Виберіть часовий проміжок для записів, які потрібно включити в експортований файл.

    • Поштові скриньки для пошуку журналу аудиту. Виберіть поштові скриньки для пошуку записів журналу аудиту.

    • Тип доступу невласників. Виберіть один із наведених нижче параметрів для визначення типу доступу користувачів, що не є власниками поштової скриньки, для пошуку записів.

      • Усі користувачі, які не є власниками   Пошук відомостей про доступ адміністраторами і делегованими користувачами у межах організації та адміністраторами центру обробки даних корпорації Майкрософт.

      • Зовнішні користувачі   Пошук відомостей про доступ лише адміністраторами центру обробки даних корпорації Майкрософт.

      • Адміністратори та делеговані користувачі. Пошук відомостей про доступ адміністраторів і делегованих користувачів у межах організації.

      • Адміністратори Пошук відомостей про доступу адміністраторів організації.

    • Одержувачі. Виберіть користувачів, яким потрібно буде надіслати журнал аудиту поштових скриньок.

  4. Натисніть кнопку «Експортувати».

    Служба Microsoft Exchange знаходить у журналі аудиту поштових скриньок записи, які відповідають умовам пошуку, зберігає їх у файлі під назвою SearchResult.xml, а потім вкладає цей файл у повідомлення електронної пошти, що надсилається вказаним одержувачам.

  5. Натисніть кнопку «Експорт».

    Служба Microsoft Exchange знаходить у журналі аудиту адміністратора записи, які відповідають умовам пошуку, зберігає їх у файл під назвою SearchResult.xml, а потім вкладає цей файл у повідомлення електронної пошти, що надсилається вказаним одержувачам.

Примітка. Щоб отримати доступ до звітів на вкладці "Звіти аудиту" на панелі керування Exchange і можливість запускати їх із неї, користувачу потрібні відповідні дозволи. Докладні відомості див. у розділі "Надання користувачам доступу до звітів аудиту" статті Використання звітів аудиту в Exchange Online.

Перегляд журналу аудиту поштових скриньок

Щоб відкрити або зберегти файл SearchResult.xml, виконайте такі дії:

  1. Увійдіть у поштову скриньку, до якої надіслано журнал аудиту поштових скриньок.

  2. У папці «Вхідні» відкрийте повідомлення із вкладенням у форматі XML, надіслане програмою Microsoft Exchange. Зверніть увагу, що тіло повідомлення електронної пошти містить умови пошуку.

  3. Клацніть вкладення, щоб відкрити або зберегти файл XML.

Записи в журналі аудиту поштових скриньок

У наведеному нижче прикладі показано запис журналу аудиту поштових скриньок, який міститься у файлі SearchResult.xml. Перед кожним записом міститься тег XML <Event>, а закривається запис тегом XML </Event>. У цьому записі показано, що адміністратор видалив повідомлення з темою "Notification of litigation hold" з папки "Відновлювані" в поштовій скриньці користувача tamaraj 30 квітня 2010 року.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Корисні поля в журналі аудиту поштових скриньок

Зверніть увагу на ці поля. Вони можуть допомогти вам отримати певну інформацію про кожен випадок доступу користувачів, що не є власниками поштової скриньки.

 

Поле Опис

Owner

Власник поштової скриньки, до якої здійснювали доступ користувачі, що не є її власниками.

LastAccessed

Відображає дату й час, коли було востаннє здійснено доступ до поштової скриньки.

Operation

Дія, яка виконана користувачем, що не є власником поштової скриньки. Докладніше про це див. у розділі «Що саме записується в журнал аудиту поштових скриньок?» статті Запуск звіту про доступ до поштової скриньки користувачів, що не володіють нею

OperationResult

Чи була дія, виконана користувачем, що не є власником поштової скриньки, успішна.

LogonType

Типи доступу користувачів, що не є власниками поштової скриньки. До таких користувачів належать адміністратори, представники та зовнішні користувачі.

FolderPathName

Ім’я паки, що містила повідомлення, з яким виконав дію користувач, що не є власником поштової скриньки.

ClientInfoString

Інформація про поштовий клієнт, використаний користувачем, що не є власником поштової скриньки, для доступу до неї.

ClientIPAddress

IP-адреса комп’ютера, використаного користувачем, що не є власником поштової скриньки, для доступу до неї.

InternalLogonType

Тип входу облікового запису, що використовувався користувачем, який не є власником поштової скриньки, для доступу до неї.

MailboxOwnerUPN

Адреса електронної пошти власника поштової скриньки.

LogonUserDN

Коротке ім’я користувача, що не є власником поштової скриньки.

Subject

Рядок теми повідомлення електронної пошти, з яким виконав дію користувач, що не є власником поштової скриньки.

 
Пов’язані теми довідки
Триває завантаження...
Ресурси не знайдено.